2月15日,由国家互联网信息办公室等十三部门联合修订发布的《网络安全审查办法》(以下简称新版《审查办法》)正式施行。新版《审查办法》以保障关键信息基础设施供应链安全为切入点,细化网络领域国家安全评估指标体系,织密国家安全屏障,在制度层面夯实国家数据安全“防火墙”。

构筑一体化保障网络安全与数据安全的双元审查机制

数据是数字经济发展的“燃料”与“动力”,保障数据安全是实现我国数字经济迭代发展的基本前提。依据《关键信息基础设施安全保护条例》,关键信息基础设施涉及公共通信和信息服务、能源、交通、水利、金融、公共服务、电子政务、国防科技工业等重要行业与领域,由于关键信息基础设施吸纳、容留、聚合各个门类的大数据资源,因而成为我国保障数据安全及网络安全的核心前沿阵地。

2020年6月1日施行的旧版《网络安全审查办法》(以下简称旧版《审查办法》)中,由于在制定时,数据安全法尚未制定生效,因而在缺乏上位法依据的情形下,旧版《审查办法》并未包含明晰化与系统化的数据安全审查机制。在关键信息基础设施领域,仅内置单一维度的网络安全审查机制。相较于旧版《审查办法》,新版《审查办法》的制定依据增设数据安全法与《关键信息基础设施安全保护条例》,从而构筑起一体化保障网络安全与数据安全的双元审查机制。

在沿袭旧版《审查办法》内容的基础上,新版《审查办法》明确网络安全审查的四项原则:其一,坚持防范网络安全风险与促进先进技术应用相结合;其二,坚持过程公正透明与知识产权保护相结合;其三,坚持事前审查与持续监管相结合;其四,坚持企业承诺与社会监督相结合。总括而言,这四项原则不仅体现出在网络领域国家数据安全监管方式的“刚柔相济,协同共治”特征,而且深度契合“以监管促创新”与“以监管促发展”的数据安全发展观念。

强化针对网络领域数据安全的穿透式监管

为了避免网络安全审查内容的宽泛化、模糊化与虚置化,新版《审查办法》在承袭旧版《审查办法》相关内容基础上条分缕析,在关键信息基础设施领域设定了全链条、多场景的,应当进行重点安全审查评估的风险因素。从时间维度而言,重点审查评估的风险因素包括“产品和服务使用后”与“产品和服务供应中断”引发的关键信息基础设施安全风险。从产品和服务属性来说,重点审查评估的风险因素系产品和服务是否具有抗风险的安全性、开放性、透明性、来源多样性以及供应渠道可靠性。从防范国际风险角度来说,重点审查评估的风险因素是政治、外交、贸易等因素导致供应中断的风险以及数据跨境转移风险。

值得注意的是,新版《审查办法》还增设了前置性与即时性防范风险的规定,以强化针对关键信息基础设施领域网络安全与数据安全风险的源头管控。譬如,依据新版《审查办法》第十六条第二款,为了防范风险,当事人应当在审查期间按照网络安全审查要求采取预防和消减风险的措施。此外,鉴于网络安全审查的复杂性与专业性,新版《审查办法》进一步完善网络安全审查流程,大幅延长特别审查程序的一般期限,将其从旧版《审查办法》规定的45个工作日修改为90个工作日,并强化实施网络安全审查机构、人员的保密义务。这些机构、人员不仅应当严格保护知识产权,而且应当对在审查工作中“知悉的商业秘密、个人信息,当事人、产品和服务提供者提交的未公开材料,以及其他未公开信息”承担保密义务。

为了强化针对网络领域数据安全风险的全面性、科学性与穿透式监管,新版《审查办法》拓展了监管主体、被监管主体、被监管行为的外延范畴。在监管主体层面,新版《审查办法》将中国证券监督管理委员会增列为国家网络安全审查工作的实施主体之一。这一增列举措是为了更加有效地防范数据境外转移可能导致的国家安全风险。由于中国证券监督管理委员会具有证券行业监管资质、职责与制度性工具,因而它能够针对网络平台运营者赴国外上市的数据安全风险进行专业性与穿透式监管。

在被监管主体与被监管行为层面,旧版《审查办法》仅规定单一主体“关键信息基础设施运营者”,这一主体需要被安全审查的行为是“影响或者可能影响国家安全的”采购网络产品和服务的行为,而新版《审查办法》则增设了被监管主体“网络平台运营者”。依据新版《审查办法》第二条第一款,只要网络平台运营者开展数据处理活动,影响或者可能影响国家安全的,就应当进行网络安全审查。

为了防止监管对象过度泛化导致执法失焦的负面结果,新版《审查办法》对该办法所监管的网络产品和服务范畴作出限缩性解释与列举,以提升国家监管机关执行效率,使其能够聚焦审查可能具有重大国家安全风险的采购行为与数据处理行为。这类网络产品和服务主要包括核心网络设备、重要通信产品、高性能计算机和服务器、大容量存储设备、大型数据库和应用软件等。

完善针对网络平台经营者赴国外上市的数据安全监管机制

由于我国头部网络平台运营者在轴心型与辐射型相关市场掌控海量数据资源,因而这类平台企业一般具有关键信息基础设施属性,其数据处理活动关涉国家安全与社会公众福祉。根据美国《外国公司问责法案》等国外法律法规,我国网络平台运营者赴国外上市时,通常需要向国外监管机关披露、提供自身掌控的我国行业大数据,这不仅可能引发数据跨境转移的国家安全风险,而且可能导致侵犯国内公众隐私权益。譬如,去年多家头部网络平台运营者被我国监管机关启动调查,而调查动因就是这些企业赴国外上市的行为可能导致数据跨境转移风险。

针对上述情况,完善网络平台运营者赴国外上市的数据安全监管机制,势在必行。新版《审查办法》第七条设定具有量化标准的强制性事先申报门槛,为网络平台运营者赴国外上市划定清晰的监管“红线”。依据该条规定,掌握超过100万用户个人信息的网络平台运营者赴国外上市,必须向网络安全审查办公室申报网络安全审查。根据新版《审查办法》第八条,当事人申报网络安全审查的材料包括拟提交的首次公开募股(IPO)等上市申请文件,这一规定能够有效防范国内数据资源的非法外溢风险。

新版《审查办法》还以负面清单方式,明确列举了我国网络平台运营者赴国外上市可能触发的风险因素,这既为监管机关圈定了对国家安全风险予以评估的着力点,又为具有赴国外上市规划的网络平台运营者提供了自我合规审查的“路线图”。譬如,依据新版《审查办法》第十条,针对网络平台运营者赴国外上市进行网络安全审查时,需要重点评估上市存在关键信息基础设施、核心数据、重要数据或者大量个人信息被外国政府影响、控制、恶意利用的风险,以及网络信息安全风险。

综上所述,在关键信息基础设施运营领域,新版《审查办法》构建了国家安全法、网络安全法、数据安全法与《关键信息基础设施安全保护条例》的联动施行机制,为关键信息基础设施运营者、网络平台运营者采购网络产品和服务活动以及数据处理活动建章立制,以多维度、全链条监管,弥补过往监管机制的罅隙与空白,在法治层面确保关键信息基础设施的可信任度。可以预期的是,在新版《审查办法》架构下,对关键信息基础设施具有监管职责的部门,将逐步制定各个细分行业、领域的网络、数据安全风险预判指南,从而进一步筑牢保障国家网络、数据安全的法治屏障。